CVE-2026-7377: XSS em GitLab 18.7 a 18.11.3
Plataforma
gitlab
Componente
gitlab
Corrigido em
18.11.3
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no GitLab EE, afetando versões entre 18.7 e 18.11.3. Essa falha permite que um usuário autenticado execute código JavaScript arbitrário no contexto do navegador de outros usuários, explorando a falta de sanitização adequada em dashboards analíticos personalizados. A correção foi disponibilizada na versão 18.11.3 e a vulnerabilidade foi publicada em 14 de maio de 2026.
Impacto e Cenários de Ataque
O impacto desta vulnerabilidade é significativo, pois um atacante pode injetar scripts maliciosos em dashboards analíticos personalizados. Ao fazer isso, o atacante pode roubar cookies de sessão, redirecionar usuários para sites maliciosos, ou até mesmo executar ações em nome do usuário afetado, comprometendo a confidencialidade e a integridade dos dados. A exploração bem-sucedida pode levar ao acesso não autorizado a informações sensíveis e à manipulação de dados dentro do GitLab. Dada a natureza do XSS, o ataque pode ser direcionado a usuários específicos ou ser implementado como um ataque em larga escala, dependendo da configuração e do uso dos dashboards analíticos.
Contexto de Exploração
A vulnerabilidade foi publicada em 14 de maio de 2026. Não há informações disponíveis sobre a existência de exploits públicos ou campanhas de exploração ativas no momento da publicação. A severidade da vulnerabilidade é classificada como ALTA devido ao seu potencial de impacto e à facilidade de exploração. É recomendável priorizar a correção desta vulnerabilidade, especialmente em ambientes de produção.
Inteligência de Ameaças
Status do Exploit
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
Mitigação e Soluções Alternativas
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 18.11.3 ou superior do GitLab EE. Se a atualização imediata não for possível, considere desativar temporariamente os dashboards analíticos personalizados ou restringir o acesso a eles a um grupo limitado de usuários confiáveis. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto de scripts maliciosos, limitando as fontes de onde o navegador pode carregar recursos. Monitore os logs do GitLab em busca de atividades suspeitas, como tentativas de injeção de código JavaScript.
Como corrigirtraduzindo…
Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior. Esta actualización corrige una vulnerabilidad de Cross-Site Scripting (XSS) en los paneles analíticos personalizables, evitando la ejecución de código JavaScript malicioso en el navegador de otros usuarios.
Perguntas frequentes
O que é CVE-2026-7377 — XSS no GitLab?
CVE-2026-7377 é uma vulnerabilidade de Cross-Site Scripting (XSS) no GitLab EE, que permite a execução de código JavaScript malicioso em dashboards analíticos personalizados, afetando versões entre 18.7 e 18.11.3.
Estou afetado pelo CVE-2026-7377 no GitLab?
Sim, se você estiver utilizando o GitLab EE nas versões 18.7.0 a 18.11.3 e tiver dashboards analíticos personalizados habilitados, você está potencialmente afetado por esta vulnerabilidade.
Como corrigir o CVE-2026-7377 no GitLab?
A correção é atualizar o GitLab EE para a versão 18.11.3 ou superior. Se a atualização imediata não for possível, desative temporariamente os dashboards analíticos personalizados ou restrinja o acesso.
O CVE-2026-7377 está sendo ativamente explorado?
No momento da publicação, não há informações disponíveis sobre a existência de exploits públicos ou campanhas de exploração ativas para esta vulnerabilidade, mas a severidade é alta.
Onde posso encontrar o aviso oficial do GitLab para o CVE-2026-7377?
Consulte o site oficial do GitLab para obter o aviso de segurança relacionado ao CVE-2026-7377. Procure por anúncios de segurança no blog do GitLab ou na documentação de segurança.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...